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PROCEDE DE CONTRE-MESURE DANS UN COMPOSANT 
ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHME DE 
CRYPTOGRAPHIE A CLE SECRETE 



La presente invention concerne un procede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cle secrete, 
lis sont utilises dans des applications oil l'acces a 
des services ou a des donnees est severement controle. 
lis ont une architecture formee autour . d'un 
microprocesseur et de memoir es, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 
cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de telepeage, par exemple 
pour la television, la distribution d' essence ou encore 
le passage de peages d'autoroutes. 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D'autres 
algorithmes a cle secrete existent, comme 1' algorithme 
RC5 ou encore l'algorithme COMP128. Cette liste n'est 
bien sflr pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 
partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributee bancaire...) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d' authentif ier le 
composant ou la carte, d'echanger des donnees... 
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Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques consistant en une 
analyse dif f erentielle de consommation en courant et 
qui permettent a des tiers mal intent ionnes de trouver 
5 la cle secrete. Ces attaques sont appelees attaques 
DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du microprocesseur 
10 executant des instructions varie selon la donnee 
manipulee. 

Notamment, une instruction du microprocesseur 
manipulant un bit de donnee genere deux prof i Is de 
courant differents selon que ce bit vaut "1" ou "0". 

15 Typiquement, si 1 ' instruction manipule un "0", on a a 
cet instant d / execution une premiere amplitude du 
courant consomme et si 1 ' instruction manipule un "l" , 
on a une deuxieme amplitude du courant consomme, 
differente de la premiere. 

2 0 Les caracteristiques des algorithmes de 

cryptographie sont connues : calculs effectues, 
parametres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 

2 5 appl ique en entree et du message chi f f re f ourni en 

retour . 

Cependant, dans un algorithme de cryptographie, 
certaines donnees calculees dependent seulement du 
message applique en clair en entree de la carte et de 

3 0 la cle secrete contenue dans la carte. D'autres donnees 

calculees dans 1' algorithme peuvent aussi etre 
recalculees seulement a partir du message chiffre 
(generalement fourni en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 
35 dans la carte. Plus precisement , chaque bit de ces 
donnees particulieres peut etre determine a partir du 
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message d' entree ou de sortie, et d'un nombre limite de 
bits particuliers de la cle. 

Ainsi, a chaque bit d'une donnee particuliere, 
correspond une sous-cle formee par un groupe 
5 particulier de bits de la cle. 

Les bits de ces donnees particulier es qui peuvent 
etre predites sont appeles dans la suite, bits cibles. 

L'idee de base de l'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 
10 courant d'une instruction selon qu'elle manipule un "1" 
ou un "0" et la possibility de calculer un bit cible 
par les instructions de l'algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante. 
15 Le principe de l'attaque DPA est done de tester une 

hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d' entree connu de l'attaquant, 
une fonction booleenne de selection, fonction de 
20 1 'hypothese de sous-cle, et definie pour chaque courbe 
par la valeur predite pour un bit cible. 

En faisant une hypothese sur la sous-cle concernee, 
on est en effet capable de predire la valeur «'0" ou "1" 
que va prendre ce bit cible pour un message d' entree ou 

2 5 de sortie donrie. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par " le bit 
cible pour 1' hypothese de sous-cle consideree, pour 
trier ces courbes en deux paquets : un premier paquet 

3 0 regroupe les courbes qui ont vu la manipulation du bit 

cible a "0" et un deuxieme paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "1" selon 
1' hypothese de sous-cle. En faisant la moyenne de 
consommation en courant dans chaque paquet, on obtient 
35 une courbe de consommation moyenne MO (t) pour le 
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premier paquet et une courbe de consommation moyenne 
Ml(t) pour le deuxieme paquet. 

Si 1'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
5 N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxieme paquet regroupe reellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "1". La courbe moyenne de consommation 
M0(t) du premier paquet aura alors une consommation 

10 moyenne partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "0" (prof il Q ) . En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 

15 chances de valoir "0" que de valoir "1", sauf le bit 
cible qui a toujours eu la valeur "O" . Ce qui peut 
s'ecrire : 

M0(t)=[(Profil 0 +profil 1 )/2] trtcl "+ [profil Q ] tci soit 
M0(t)=[Vm t ] t ^ tci + [profil 0 ] tci 

20 ou tci represente les instants critiques, auxquels une 
instruction critique a ete executee. 

De meme, la courbe moyenne de consommation Ml(t) du 
deuxieme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 

25 instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "1" (prof il^) . On peut ecrire : 
Ml(t)=[(profil 0 +profil 1 )/2] t;£tci + [profilj^ soit 
Ml(t)=[Vm t ] t;ttci + [profilj^i 

30 On a vu que les deux profils profil Q et profil 1 ne 

sont pas egaux. La difference des courbes M0(t) et 
Ml(t) donne alors un signal DPA(t) dont 1' amplitude est 
egale a prof il Q -prof il 1 aux instants critiques tci 
d' execution des instructions critiques manipulant ce 

35 bit, c'est a dire, dans l'exemple represente sur la 
figure 1, aux endroits tcO a tc6, et dont 1 9 amplitude 



est a peu pres egale a zero en dehors des instants 
critiques. 

Si 1 'hypothese de sous-cle est fausse, le tri ne 
correspond pas a la realite. Statistiquement , il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
courbes ayant vu la manipulation du bit cible a M l". La 
courbe moyenne resultante M0(t) se situe alors autour 
d'une valeur moyenne donnee par (prof il Q +prof il^) /2==Vm, 
car pour chacune des courbes, tous les bits manipules, 
y compris le bit cible ont autant de chances de valoir 
"0" que de valoir "1" . 

Le meme raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consommation en courant Ml(t) 
dont 1' amplitude se situe autour d'une valeur moyenne 
donnee par (prof il 0 +prof il^ /2=Vm. 

Le signal DPA(t) fourni par la difference M0(t)- 
Ml(t) est dans ce cas sensiblement egal a zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cle 
fausse est represents sur la figure 2. 

Ainsi l'attaque DPA exploite la difference du 
profil de consommation en courant pendant l'execution 
d'une instruction suivant la valeur du bit manipule, 
pour effectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenne pour 
une hypothese de sous-cle donnee. En effectuant une 
analyse dif f erentielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d' information DPA(t) . 

Le deroulement d'une attaque DPA consiste alors 
globalement : 

a- a tirer N messages aleatoires (par exemple N 
egal 1000) ; 

b- a faire executer l'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 



de consommation en courant a chaque fois (mesuree sur 
la borne d' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 

d- a predire, pour chacun des messages aleatoires, 
la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d' entree ou de 
sortie) et de la sous-cle prise en hypothese, pour 
obtenir la fonction de selection booleenne; 

e- a trier les courbes selon cette fonction de 
selection booleenne (c'est a dire selon la valeur "0" 
ou "1" predite pour ce bit cible pour chaque courbe 
sous l'hypothese de sous-cle); 

f- a calculer dans chaque paquet la courbe 
resultante de consommation moyenne en courant; 

g- a effectuer la difference de ces courbes 
moyennes, pour obtenir le signal DPA(t) . 

Si l'hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent reellement aux 
courbes pour lesquelles le message applique en entree 
ou en sortie a donne un bit cible a "0" dans la carte 
et les courbes du deuxieme paquet correspondent 
reellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 
»1» dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO" a tc6 
correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible) . 

On notera que l'attaquant n'a pas besoin de 
connaitre avec precision les instants critiques. II 
suffit qu'il y ait au moins un instant critique dans la 
periode d' acquisition. 

Si l'hypothese de sous-cle n'est pas juste, le tri 
ne correspond pas a la realite et on a alors dans 
chaque paquet autant de courbes correspondant en 
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reality a un bit cible a "O" que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2). II faut retourner a l'etape c- et faire une 
5 nouvelle hypothese sur la sous-cle. 

Si 1' hypothese s'avere juste, on peut passer a 
1' evaluation d'autres sous-cles, jusqu'a avoir 
reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES , on utilise une cle de 64 bits, dont 
10 seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles . 

La presente invention a pour but de mettre en 
oeuvre dans un composant electronique, un procede de 
15 contre-mesure qui entraine un signal DPA(t) nul, meme 
dans le cas ou 1' hypothese de sous-cle est juste. 

De cette facon, rien ne permet de distinguer le cas 
de 1' hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
20 composant electronique est pare centre les attaques 
DPA. 

Selon 1' invention, le procede de contre-mesure 
permet de rendre impredictibles les bits cibles, e'est 
a dire les donnees manipulees par des instructions 

25 critiques. 

En effet, du fait de la contre-mesure, pour chaque 
message applique en entree, un bit cible manipule par 
une instruction critique prend la valeur 0 ou 1 avec 
une egale probability. Dans chaque paquet de courbes 

3 0 que fera l'attaquant sous une hypothese de sous-cle 
donnee, au moyen de la fonction de selection booleenne 
qu'il aura calculee, on aura autant de courbes ayant 
reellement manipule un bit cible "0" que de courbes 
ayant reellement manipule un bit cible a "1". Le signal 

35 DPA(t) sera tou jours nul, que 1' hypothese de sous-cle 
soit juste ou non. 
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Telle que caracterisee, 1' invention concerne done 
un procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrete, la mise en oeuvre de 
5 1 ' algorithme coxnprenant 1 'utilisation de premiers 
moyens pour fournir une donnee de sortie a partir d'une 
donnee d' entree, la donnee de sortie et/ou des donnees 
derivees etant manipulees par des instructions 
critiques, Selon 1' invention, le procede de contre- 

10 mesure prevoit 1'utilisation d'autres moyens, en sorte 
que la donnee de sortie et les donnees derivees soient 
impredictibles ♦ 

Selon 1' invention, 1 'utilisation des differents 
moyens est geree selon une loi statistique de 

15 probability un demi. 

D'autres caracteristiques et avantages de 
1' invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
20 reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que l'on peut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 
une attaque DPA; 

25 - les figures 3 et 4 sont des organigrammes 

d' execution des premiers tours et derniers tours de 
1' algorithme DES; 

- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisee dans 1' algorithme DES; 

3 0 - la figure 6 montre un exemple de table de 

constante elementaire a une entree et une sortie 
utilisee dans 1' operation SBOX; 

- les figures 7 et 8 montrent un exemple 
d' organ igramme d' execution des premiers et derniers 

35 tours de l'algorithme DES, selon un mode de realisation 
du procede de contre-mesure selon 1' invention; 



- les figures 9 et 10 montrent respectivement une 
deuxieme et une troisieme tables de constantes 
elementaires selon 1' invention; 

- la figure 11 represente un organ igramme general 
5 d' execution du DES selon un mode de realisation du 

procede de contre-mesure selon 1' invention; et 

- la figure 12 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 
dans lequel le procede de contre-mesure selon 

10 l'invention est mis en oeuvre. 

La presente invention va etre expliquee dans un 
exemple d ' application a l'algorithme cryptographique 
DES. L' invention n'est pas limitee a ce seul exemple. 
15 Elle s' applique aux algorithmes cryptographiques a cle 
secrete en general. 

L'algorithme cryptographique DES (dans la suite on 
parlera plus simplement du DES ou de l'algorithme DES) 
comporte 16 tours de calcul, notes Tl a T16, comme 
20 represente sur les figures 3 et 4 . 

Le DES debute par une permutation initiale IP sur 
le message d'entree M (figure 3). Le message d'entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que 1'on coupe en deux pour former 
25 les parametres d'entree L0 et R0 du premier tour (Tl) . 

L0 est un mot d de 32 bits contenant les 32 bits de 
poids forts du mot e. R0 est un mot h de 3 2 bits 
contenant les 3 2 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
30 elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le parametre R0, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
3 5 bits. 
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Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits. Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
5 position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 
notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
10 Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6. 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 32 bits. 

Ce mot c est combine au parametre d' entree L0 du 
15 premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d' entree LI du tour suivant (T2) et le mot g du premier 
20 tour fournit le parametre d' entree Rl du tour suivant. 

Le mot p du premier tour fournit 1' entree r du tour 
suivant. 

Les autres tours T2 a T16 se deroulent de fa?on 
simiiaire, excepte en ce qui concerne 1' operation de 
25 decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti re?oit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
parametres Li, Ri et r pour le tour suivant Ti+1. 
30 En fin d'algorithme DES (figure 4), le message 

chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 
35 - formation d'un mot e' de 64 bits en inversant la 

position des mots L16 et R16, puis en les concatenant; 
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- application de la permutation IP -1 inverse de 
celle de debut de DES , pour obtenir le mot f de 64 
bits formant le message chiffre C. 

L' operation SBOX est detaillee sur les figures 5 et 
5 6. Elle comprend une table de constant es TC 0 pour 
fournir une donnee de sortie a en fonction d'une donnee 
d' entree b. 

En pratique, cette table de constantes TC Q se 
presente sous la forme de huit tables de constantes 
10 elementaires TC Q 1 a TC Q 8, chacune recevant en entree 
seulement 6 bits du mot b, pour fournir en sortie 
seulement 4 bits du mot a. 

Ainsi, la table de constante elementaire TC Q 1 
representee sur la figure 6 recoit corome donnee 
15 d' entree, les bits bl a b6 du mot b et fournit come 
donnee de sortie les bits al a a4 du mot a. 

En pratique ces huit tables de constantes 
elementaires sont memorisees en memoire programme du 
composant electronique . 

2 0 Dans 1' operation SBOX du premier tour Tl, un bit 

particulier de la donnee a de sortie de la table de 
constante TC 0 depend de seulement 6 bits de la donnee b 
appliquee en entree, c'est a dire de seulement 6 bits 
de la cle secrete K et du message d' entree (M) . 
25 Dans 1' operation SBOX du dernier tour T16, un bit 

particulier de la donnee a de sortie de la table de 
constante TC Q peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chiffre (C) . 

Or si on reprend le principe de l'attaque DPA, si 

3 0 on choisit comme bit cible un bit de la donnee de 

sortie a, il suffit de faire une hypothese sur 6 bits 
de la cle K, pour predire la valeur d'un bit cible pour 
un message d' entree (M) ou de sortie (C) donne. En 
d'autres termes, pour le DES, il suffit de faire une 
35 hypothese sur une sous-cle de 6 bits. 
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Dans une attaque DPA sur un tel algorithme pour un 
bit cable donne, on a done a discriminer une hypothese 
de sous-cle juste parmi 64 possibles. 

Ainsi, en prenant seulement huit bits du mot a 
5 comme bits cibles, (un bit de sortie par table de 
constantes elementaire TC Q 1 a TC 0 8), on peut decouvrir 
jusqu'a 6x8=48 bits de la cle secrete, en faisant des 
attaques DPA sur chacun de ces bits cibles. 

Dans le DES, on trouve done des instructions 
10 critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin. 

Au debut de 1' algorithme DES, les donnees qui 
peuvent etre predites a part ir d ' un message d ' entree M 
et d'une hypothese de sous-cle, sont les donnees a et g 
15 calculees dans le premier tour (Tl) . 

La donnee a du premier tour Tl (figure 3) est la 
donnee de sortie de 1' operation SBOX du tour considere. 
La donnee g est calculee a part ir de la donnee a , par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
20 parametre d' entree L0. 

En fait, la donnee c du premier tour, est une 
donnee derivee de la donnee a du premier tour. La 
donnee derivee c correspond a une simple permutation de 
bits de la donnee a. 
25 La donnee 1 du deuxieme tour est une donnee derivee 

de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
g etant en outre dupliques. 

Connaissant a et g, on peut aussi connaitre ces 
3 0 donnees derivees. 

Les instructions critiques du debut de l'algorithme 
sont les instructions critiques qui manipulent soit la 
donnee que l'on peut predire, comme la donnee a du 
premier tour, soit une donnee derivee. 
35 Les instructions critiques manipulant la donnee a 

du premier tour Tl ou la . donnee derivee c sont ainsi 
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les instructions de fin de 1' operation SBOX, de 
1' operation P PERM et de debut de 1' operation XOR du 
premier tour Tl. 

Les instructions critiques manipulant la donnee g 
ou des donnees derivees sont toutes les instructions de 
fin d' operation XOR de fin du premier tour Tl jusqu'aux 
instructions de debut d' operation SBOX du deuxieme tour 
T2, et les instructions de debut d' operation XOR de fin 
du troisieme tour T3 ( L2 = h(T2) = g(Tl) ) . 

En fin d'algorithme DES, les donnees qui peuvent 
etre predites a partir d'un message chiffre C et d'une 
hypothese de sous-cle, sont la donnee a du seizieme 
tour T16 et la donnee L15 egale au mot h du quatorzieme 
tour T14. 

Les instructions critiques manipulant la donnee a 
du seizieme tour ou des donnees derivees sont les 
instructions du seizieme tour de fin d' operation SBOX, 
de 1' operation de permutation P PERM et de debut 

d' operation XOR. 

Pour la donnee L15 , les instructions critiques 
manipulant cette donnee ou des donnees derivees sont 
toutes les instructions depuis les instructions de fin 
d'operation XOR du quatorzieme tour T14 , jusqu'aux 
instructions de debut d'operation SBOX du quinzieme 
tour T15, et les instructions de debut d'operation XOR 
de fin du seizieme tour T16. 

Le procede de contre-mesure selon 1' invention 
applique a cet algorithme DES consiste a avoir, pour 
chaque instruction critique, autant de chances que 
1' instruction critique manipule une donnee que son 
complement. Ainsi, quel que soit le bit cible sur 
lequel l'attaque DPA peut etre faite, on a autant de 
chances que les instructions critiques qui manipulent 
ce bit, manipulent un "1" ou un "0". 

En pratique, ceci doit etre vrai pour chacun des 
bits cibles potentiels : en d'autres termes, 
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l'attaquant ayant le choix entre plusieurs attaques 
possibles, c'est a dire entre plusieurs fonctions de 
selection booleenne possibles pour effectuer son tri de 
courbes, pour une hypothese de sous-cle donnee, la mise 
5 en oeuvre du procede de contre-mesure selon 1' invention 
doit s'attacher a ce que les donnees manipulees par 
chacune des instructions critiques, prennent 
aleatoirement , une fois sur deux, une valeur ou son 
complement. En ce qui concerne 1' application du procede 

10 de contre-mesure selon 1' invention a 1'algorithme DES, 
il faut done appliquer la contre-mesure " aux 
instructions critiques de debut de DES et aux 
instructions critiques de fin de DES, pour etre 
totalement protege. 

15 Dans le DES, toutes les donnees manipulees par des 

instructions critiques sont une donnee de sortie ou des 
donnees derivees d'une donnee de sortie d'une operation 
SBOX. 

En effet, en debut de DES, les donnees qui peuvent 

2 0 etre predites sont les donnees a et g du premier tour 

Tl. La donnee a est la donnee de sortie de 1' operation 
SBOX du premier tour. La donnee g est calculee a partir 
de la donnee a, puisque g = P PERM (a) XOR L0. g est 
done une donnee derivee de la donnee de sortie a de 
25 1' operation SBOX du premier tour. Ainsi, toutes les 
donnees manipulees par les instructions critiques de 
debut de DES decoulent directement ou indirecte'ment de 
la donnee de sortie a de 1' operation SBOX du premier 
tour. 

3 0 En ce qui concerne la fin de DES, les donnees qui 

peuvent etre predites sont la donnee a du seizieme tour 
T16 et la donnee g du quatorzieme tour T14, g etant 
egale a L15. 

La donnee a est la donnee de sortie de 1' operation 
35 SBOX du seizieme tour T16. 
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Quant a la donnee L15, elle se calcule, dans 
1' execution normale de l'algorithme DES, a partir de la 
donnee de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM ( a ) XOR L14. 
5 Si on rend impredictibles les donnees de sortie a 

de ces operations SBOX particulieres , on rend aussi 
impredictibles toutes les donnees derivees : on rend 
done impredictibles toutes les donnees manipulees par 
les instructions critiques de l'algorithme DES._ 
10 L' operation SBOX correspond done a des premiers 

moyens , qui consistent en une table de constantes TC Q/ 
et qui sont utilises dans chaque tour pour fournir une 
donnee de sortie E a partir d'une donnee d' entree S. 

Un mode de realisation du procede de contre-mesure 
15 applique a l'algorithme DES peut consister a utiliser 
au moins une autre table de constantes come autres 
moyens pour rendre impredictible la donnee de sortie a, 
en sorte que cette donnee de sortie et/ou des donnees 
derivees manipulees par les instructions critiques 
20 soient toutes impredictibles. 

Dans 1' execution de l'algorithme, 1' utilisation des 
diiferents moyens, e'est a dire, dans l'exemple, des 
differentes tables de constantes est geree selon une 
loi statistique de probability un demi . 
25 L' autre table de constantes ou les autres tables de 

constantes sont telles qu'a l'une et/ou l'autre des 
donnees d' entree d et de sortie de la premiere table de 
constantes TC Q , elles font correspondre la donnee 
complementee . 

3 0 Les figures 7 et 8 representent ainsi un mode 

d' application du procede de contre-mesure de 

1' invention applique a l'algorithme DES. 

La figure 7 represente le debut de l'algorithme. 

Les operations et donnees non modifiees par le procede 
35 de contre-mesure selon 1' invention portent les memes 

references que dans la figure 3 deja decrite. 
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En debut d'algorithme DES , on prevoit une deuxieme 
table de constante TC 1 dans 1' operation SBOX du premier 
tour Tl . Toutes les donnees affectees par cette 
deuxieme table de constantes TC^ sont affectees d'un 
5 s igne ' ou d ' un s igne " sur ces f igur es . On vo it que 
les instructions critiques de debut de DES manipulent 
toutes des donnees affectees par le procede de contre- 
mesure. 

On remarquera que la premiere table de constantes 
10 etant en fait formee de huit premieres tables de 
constantes, la deuxieme table de constantes est 
egalement formee de huit deuxiemes tables de 
constantes. 

Dans l'exemple de realisation represents, la 
15 premiere table de constantes TC Q et la deuxieme table 
de constantes TC 1 sont telles que pour une meme donnee 
d' entree E, la deuxieme fournit en sortie le complement 
/S de la donnee de sortie S fournie par la premiere. 

La figure 9 montre une telle deuxieme table 
20 elementaire TC^l fournissant une sortie complementee 
par rapport a la premiere table elementaire TC Q 1 
montree sur la figure 6 . 

Avec une telle deuxieme table de constantes TC^, on 
obtient, en sortie de 1' operation SBOX du premier tour 

2 5 Tl , le complement /a de la donnee a obtenue avec la 

premiere table de constante TC Q . De meme , on obtient 
dans le premier tour Tl la donnee complementee /g et 
dans le deuxieme tour T2, les donnees complementees /h, 
/L2, /l et /b. 

3 0 En utilisant la premiere table ou la deuxieme table 

pour fournir la donnee de sortie selon une loi 
statistique de probability un demi, tous les bits de 
cible potentiels de debut de DES manipules par les 
instructions critiques ont autant de chances de prendre 
35 la valeur "1" que de prendre la valeur "0 M . 
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En fin d'algorithme DES, le mode de realisation du 
procede de contre-meseure selon 1' invention necessite 
1 'utilisation de plusieurs tables de constantes 
differentes de la premiere, car il faut considerer a la 
fois la donnee de sortie a calculee au quatorzieme tour 
T14, et la donnee de sortie a calculee au seizieme tour 
T16 pour rendre impredictibles toutes les donnees 
manipulees par les instructions critiques de cette fin 
de DES. 

Un exemple de realisation du procede de contre- 
mesure applique a cette fin d'algorithme DES est 
represents sur la figure 8. 

II prevoit 1 'utilisation de deux tables de 
constantes TC 1 et TC 2 . 

Dans 1' operation SBOX du quatorzieme tour T14, on 
utilise la deuxieme table de constantes TC^ deja 
utilisee pour le debut du DES. 

Et on utilise une troisieme table de constantes 
TC 2 , dans les operations SBOX des quinzieme et seizieme 
tours. 

Cette troisieme table de constantes TC 2 est telle 
qu'elle fournit le complement /S de la donnee de sortie 
S au complement /E de la donnee d' entree E de la 
premiere table de constantes TC Q . Un exemple d'une 
troisieme table de constantes elementaire TC 2 1 
correspondante, a partir de la premiere table de 
constantes elementaire TC Q est montre sur la figure 10. 

En utilisant de telles tables de constantes, il 
apparait sur la figure 8 que toutes les instructions 
critiques manipulent des donnees complementees . 

L' invention ne se limite pas a ces seuls exemples 
de tables de constantes TC-l et TC 2 . D'autres 
possibilites existent. Par exemple, pour le procede de 
contre-mesure applique a la fin de DES, il est aussi 
possible de combiner 1 'utilisation de la table de 
constantes TC ± avec une autre table de constantes 
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definie par rapport a la premiere table de constantes 
TCq comme fournissant la donnee de sortie S au 
complement /E de la donnee d' entree. 

D'une maniere generale, la fin de DES necessite 
5 1' utilisation de differentes tables de constantes, en 
fonction des tours consideres, pour que toutes les 
donnees manipulees par les instructions critiques de 
cette fin de DES soient impredictibles. 

Le mode de realisation decrit en relation avec les 

10 figures 7 et 8 a cependant un inconvenient : le procede 
de contre-mesure applique en entree de DES produit des 
resultats intermediaires calcules L3' et R3 ' qui ne 
sont pas justes. Tous les resultats intermediaires 
suivants ne sont done pas justes non plus. 

15 De meme, en fin de DES, le procede de contre-mesure 

applique en entree de DES produit des resultats 
intermediaires calcules L16' et R16' qui ne sont pas 
justes. 

Dans tous les cas, le message chiffre est faux. 
2 0 Dans ce mode de realisation de 1' invention, il faut 

done prevoir de pouvoir reprendre a chaque fois la 
suite de 1'algorithme avec les bons resultats 
intermediaires, une fois les instructions critiques 
passees, 

2 5 En pratique, comme on a vu que les instructions 

critiques de debut de DES se trouvent dans les trois 
premiers tours, on va dedoubler ces trois premiers 
tours. En d'autres termes, on prevoit d'executer deux 
sequences comprenant chacune les trois premiers tours 

3 0 Tl, T2, T3 au moins. Une premiere sequence SEQA utilise 

la premiere table de constantes TC Q dans chaque tour. 

autre sequence SEQB utilise la deuxieme table de 
constantes TC 1 au moins dans le premier tour Tl. Dans 
l'exemple represents, on utilise la premiere table de 
3 5 constantes dans les deux tours suivants T2 et T3 - 
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On a vu que dans le procede de contre-mesure selon 
1' invention, l'utilisation des differents moyens, c'est 
a dire, dans l'exemple, l'utilisation des differentes 
tables de constantes, est geree selon une loi 
5 statistique de probability un demi. Cette loi 
statistique de probability un demi est alors plus 
particulierement appliquee a l'ordre d' utilisation de 
ces differents moyens, c'est a dire, dans l'exemple, a 
l'ordre d' execution des deux sequences SEQA et SEQB . 
10 De meme, pour avoir les bons parametres L16 et R16 

en fin de DES pour elaborer le message chiffre C, on 
dedouble egalement les trois tours T14, T15 et T16 
(figure 7) qui contiennent les instructions critiques 
de fin de DES. On va done executer deux sequences qui 
15 comprennent au moins les trois derniers tours T14, T15, 
T16. Une premiere sequence SEQA' utilise dans chaque 
tour la premiere table de constantes TC Q . L' autre 
sequence SEQB' utilise les autres tables de constantes 
TC^ et TC 2 . Corome precedemment , la loi statistique de 
20 probability un demi est alors appliquee a l'ordre 
d'execution de ces deux sequences SEQA' et SEQB'. 

Les instructions critiques sont alors executees 
deux fois, une dans chaque sequence. Mais au moment de 
l'exycution de n'importe laquelle des instructions 
25 critiques de l'une ou 1' autre des sequences, la 
probability de manipuler une donnee sera egale a la 
probability de manipuler son complement. 

Le programme de calcul du DES mis en oeuvre dans le 
composant electronique doit done etre modifie pour 
30 inclure le procede de contre-mesure selon 1' invention. 

Un exemple d'organigramme d'execution conforme a 
1' invention et mettant en oeuvre le procede de contre- 
mesure en dybut et en fin de DES selon le mode de 
ryalisation decrit en relation avec les figures 7 et 8 
35 est representy sur la figure 11. Dans cet exemple, les 
sequences SEQA et SEQB comprennent les trois premiers 
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tours et les sequences SEQA' et SEQB' comprennent les 

trois derniers tours. 

Le programme de calcul consiste alors 

principalement, au debut du calcul, a sauvegarder les 
5 parametres d' entree notes DATA IN et KEY, qui 

correspondent en pratique aux parametres LO, R0 et r, 

dans une zone memoire temporaire notee CONTEXT0. 

Selon ce programme de calcul, on positionne ensuite 

un premier compteur de boucle FR a 0, et on tire 
10 aleatoirement une valeur RND1 egale a 0 ou a l. 

Si RND1 vaut 1, dans l'exemple, on effectue d'abord 

la sequence SEQB de Tl, T2, T3 , dans laquelle on 

utilise la deuxieme table de constantes TC X au tour Tl 

et la premiere table TC Q pour les tours T2 et T3 . On 
15 sauvegarde les parametres de sortie L3 ' , R3 ' (qui ont 

des valeurs fausses) dans une zone memoire temporaire 

notee CONTEXT 2 . 

Si FR n'est pas egal a 1, on le met Si, on 

restaure les parametres d' entree du CONTEXT0 et on 
20 complemente la valeur de RND1. Dans l'exemple, on 

obtient RND1=0. On va alors executer 1' autre sequence 

SEQA de Tl, T2 , T3 dans laquelle on utilise la premiere 

table de constante dans les trois tours Tl, T2 et T3 . 

On sauvegarde les parametres de sortie (valeurs justes) 
25 dans une zone memoire temporaire notee C0NTEXT1. 

Si FR est a 1, c'est que l'on a effectue les deux 

sequences. On restaure alors CONTEXT1 pour foufnir les 

resultats intermediates L3 , R3 ayant les valeurs 

justes, au tour suivant (T4) . 
30 Si RND1 vaut zero, on commence par T1(TC 0 ), 

T2(TC Q ), T3(TC Q ) et on finit par T1(TC 1 ), T2 (TC Q ) , 

T3(TC Q ) . 

Arrive a la fin du tour T13 , on sauvegarde les 
parametres fournis par ce tour, L13 , R13, dans la 
35 memoire temporaire CONTEXT0, et on procede pour les 
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tours restants T14, T15 et T16 de facon similaire aux 
premiers tours . 

Dans tous les cas, il faut que le nombre 
d' instructions soit exactement le meme quel que soit le 
5 chemin de calcul. C est pour cela notamment que dans 
l'exemple d' application decrit, on prevoit de 
sauvegarder aussi les valeurs fausses (L3', R3 ' ou 
L16', R16') dans la zone memoire temporaire CONTEXT 2 . 

En effet si line difference guelcohque existait 
10 entre les deux chemins possibles, ily aurait alors une 
possibility d'attaque DPA fructueuse. 

Le procede de contre-mesure selon 1 ' invention n' est 
pas limite a l'exemple particulier de realisation 
decrit en reference a l'algorithme DES. II s'applique a 
15 tout algorithme de cryptographie a cle secrete. De 
maniere genera le, pour toute mise en oeuvre d'un 
algorithme comprenant 1 ' utilisation de premiers moyens 
pour fournir une donnee de sortie a partir d.'une donnee 
d' entree, la donnee de sortie et/ou des donnees 
20 derivees etant manipulees par des instructions 
critiques, le procede de contre-mesure selon 
1' invention comprend 1' utilisation d'autres moyens, en 
sorte que la donnee de sortie et les donnees derivees 
soient impredictibles . 
25 L'utilisation des differents moyens , c'est a dire 

des premiers moyens et des autres moyens, est geree 
selon une loi statistique de probability un demi. 

Les autres moyens peuvent comprendre plusieurs 
moyens differents. lis sont tels qu'a l'une ou a 
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1' autre des donnees d' entree et de sortie des premiers 
moyens, ils font correspondre la donnee complementee. 

Dans l'exemple d'un mode d'application du procede 
de contre-mesure au DES plus particulierement decrit, 
les premiers moyens consistent en la premiere table de 
35 constantes TC Q . Les autres moyens consistent, en debut 
de DES, dans la deuxieme table de constantes TC X . En 
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fin de DES, ils consistent en deux tables de constantes 
differentes, TC^ et TC 2 dans l'exemple. 

Pour appliquer le procede de contre-mesure selon 
1' invention a un algorithme de cryptographie a cle 
5 secrete donne, il faut done d'abord determiner toutes 
les donnees de cet algorithme qui peuvent etre predites 
et toutes les instructions critiques au sens de 
1'attaque DPA manipulant ces donnees ou des donnees 
derivees. II faut ensuite identifier dans 1' algorithme 

10 des premiers moyens et des autres moyens au sens de 
1' invention, en sorte que toutes les donnees manipulees 
par les instructions critiques soient impredictibles . 
Les premiers moyens sont, pour 1' algorithme DES, la 
table de constantes TC Q ^ Les autres moyens sont dans 

15 l'exemple, d' autres tables de constantes. Ces moyens 
peuvent etre des operations differentes pour d' autres 
algorithmes. Pour un meme algorithme, ces moyens 
peuvent consister en des operations differentes selon 
les instructions critiques identifiees. 

20 Le composant electronique 1 mettant en oeuvre un 

tel procede de contre-mesure dans un algorithme de 
cryptographie a cle secrete comprend typiquement, comme 
represents sur la figure 12, un microprocesseur |aP, une 
memoire programme 2 et une memoire de travail 3. Pour 

25 pouvoir gerer 1 ' utilisation des differents moyens selon 
1' invention, qui sont, dans l'exemple d£crit, les 
differentes tables de constantes memorisees en "memoire 
programme, des moyens 4 de generation d'une valeur 
aleatoire entre 0 et 1, sont prevus qui, si on se 

30 reporte a la figure 11, fourniront la valeur de RND1 a 
chaque execution du DES. Un tel composant peut tout 
particulierement etre utilise dans une carte a puce CP, 
pour ameliorer leur inviolabilite . 
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REVINDICATIONS 



10 



20 



25 



30 



1. Procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptograph ique a cle secrete (K) , la mise en oeuvre de 
1' algorithme comprenant 1' utilisation de premiers 
moyens (TC Q ) pour fournir une donnee de sortie (S) a 
partir d'une donnee d' entree (E) , la donnee de sortie 
et/ou des donnees derivees etant manipulees par des 
instructions critiques, caracterise en ce que le 
precede de contre-mesure prevoit 1 ' utilisation d'autres 
moyens (TC^) , en sorte que la donnee de sortie et les 
donnees derivees soient impredictibles . 



2. Procede de contre-mesure selon la revendication 

1, caracterise en ce que l'utilisation des differents 
15 moyens (TC n , TC^^) est geree par une loi statistique de 

probabilite un demi. 

3 . Procede de contre-mesure selon la revendication 

2, la mise en oeuvre de l'algorithme comprenant seize 
tours de calcul (Tl, . . . ,T16) , caracterise en ce qu'il 
comprend l'execution d'une premiere sequence (SEQA) et 
d'une deuxieme sequence (SEQB) formees des trois 
premiers tours au moins (Tl, T2 , T3) , l'ordre 
d' execution des sequences §tant fonction de la loi 
statistique de probabilite un demi, la premiere 
sequence (SEQA) utilisant les premiers moyens (TC Q ) 
dans chaque tour, la deuxieme sequence (SEQB) utilisant 
les autres moyens (TC^ dans le premier tour (Tl) au 



moins . 



4. Procede de contre-mesure selon la revendication 
3, caracterise en ce que la premiere et la deuxieme 
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sequences sont formees chacune des trois premiers tours 
(Tl, T2, T3) . 

5. Procede de contre-mesure selon la revendication 
5 3 ou 4 , caracterise en ce que les autres moyens 

consistent en des deuxiemes moyens (TC 1 ) tels que pour 
une meme donnee d' entree (E) , ils fournissent en sortie 
le complement (/S) de la donnee de sortie (S) des 
premiers moyens (TC Q ) . 

10 

6. Procede de contre-mesure selon la revendication 
2, la mise en oeuvre de 1'algorithme comprenant seize 
tours de calcul (Tl, . . . ,T16) , caracterise en ce qu'il 
comprend l'execution d'une premiere sequence (SEQA') et 

15 d'une deuxieme sequence (SEQB') formees chacune des 
trois derniers tours (T14, T15, T16) au moins, 1'ordre 
d' execution des sequences etant fonction de la loi 
statistique de probability un demi, la premiere 
sequence (SEQA') utilisant les premiers moyens (TC Q ) 

20 dans chaque tour, la deuxieme sequence (SEQB') 
utilisant les autres moyens (TC^, TC 2 ) • 

7. Procede de contre-mesure selon la revendication 
6, caracterise en ce que la premiere et la deuxieme 

25 sequences sont formees chacune des trois derniers 
tours, et en ce que les autres moyens utilises dans la 
deuxieme sequence comprennent des deuxiemes " moyens 
(TC^) et des troisiemes moyens (TC 2 ) • 

30 8. Procede de contre-mesure selon la revendication 

6 ou 7, caracterise en ce que les deuxiemes moyens 
(TC^) sont tels que pour une meme donnee d' entree (E) , 
ils fournissent en sortie le complement (/S) de la 
donnee de sortie (S) des premiers moyens (TC Q ) et en ce 

35 que ces deuxiemes moyens sont utilises dans la deuxieme 
sequence (SEQB 7 ) pour le quatorzieme tour (T14) . 
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9. Procede de contre-mesure selon la revendication 
8, caracterise en ce que les troisiemes moyens (TC 2 ) 
sont tels que pour le complement de la donnee d' entree 
(E) , ils fournissent en sortie le complement (/S) de la 
donnee de sortie (S) des premiers moyens (TC 0 ) et sont 
utilises dans la deuxieme sequence, pour le quinzieme 
tour et le seizieme tour (T15, T16) . 

10. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 
les differents moyens sont des tables de constantes. 

11. Composant electronique mettant en oeuvre le 
15 procede de contre-mesure selon l'une quelconque des 

revendications precedentes, caracterise en ce que les 
differents moyens (TC Q , TC X , TC 2 ) pour fournir une 
donnee de sortie a partir d'une donnee d' entree sont 
fixes en memoire programme du dit composant et en ce 
20 qu'il comprend des moyens de generation d'une valeur 
aleatoire (RND1) a 0 ou a 1 pour gerer 1' utilisation 
des dits differents moyens. 
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12 . Carte a puce comprenant un composant 
electronique selon la revendication 11. 
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